Apple-Sicherheitslücke

Warum Sie dringend Ihr iPhone updaten sollten

Der US-Technologiekonzern Apple hat Sicherheitsupdates für iPhone, iPad, Apple Watch und Mac veröffentlicht. Vergangene Woche hatten Forscher von Citizen Lab nämlich eine neue Schwachstelle in iOS entdeckt, die sich die Pegasus-Spionage-Software zunutze machte. Da die behobenen Sicherheitslücken aber bereits aktiv ausgenutzt werden, sollten Anwender möglichst schnell die Updates installieren.

Den Forschern zufolge nutzte jemand die bisher unbekannte iPhone-Schwachstelle aktiv aus, um die von der israelischen NSO Group entwickelte Überwachungssoftware Pegasus heimlich auf Zielgeräten zu installieren. Die Opfer hätten keine Chance, sich dagegen zu wehren - auch dann nicht, wenn sie die bis dahin aktuelle iOS-Version 16.6 installiert haben.

Apple hat reagiert
Nun hat Apple reagiert und ein Sicherheitsupdate für iOS und auch iPadOS veröffentlicht, mit dem die Lücke gestopft werden soll. Erhältlich ist es für:

• das iPhone 8 und neuere Modelle
• alle Versionen des iPad Pro
• das iPad Air ab der dritten Generation
• sowie das normale iPad und das iPad mini ab der fünften Generation

Neue Betriebssystem-Versionen
Die neuen Betriebssystemversionen tragen jeweils die Nummer 16.6.1. Manuell installieren lassen sie sich in den Einstellungen unter Allgemein und dann Softwareupdate.

Die Schwachstelle betraf Passkit, jene Schnittstelle, die Apple in Wallet-Apps nutzt, um diverse Tickets dort abzubilden. Laut Citizen Lab genügte eine Nachricht per iMessage an das Opfer mit dem präparierten Bild in der Passkit-Datei, damit sich Pegasus auf dem betroffenen iPhone installieren konnte, ohne Zutun und Wissen des Nutzers. „Zero-Click“ heißen solche Schwachstellen, weil die Opfer nichts anklicken oder -tippen müssen, damit die Installation startet.

watchOS 9.6.2 schließt die Pegasus-Lücke 
Nun schließt Apple diese Lücke auch unter watchOS 9, schließlich hat die Apple Watch ebenfalls eine Möglichkeit, Tickets auf dem Display darzustellen. Anders als unter iOS 16.6 ist watchOS jedoch von der zweiten Sicherheitslücke bei der Bildverwaltung ImageIO nicht betroffen, so weist Apple nur auf eine CVE mit der Folgenummer 2023-41061 als behoben hin. Neue Funktionen sind anscheinend genauso wie bei iOS 16.6.1 nicht zu erwarten. Es wird jedoch empfohlen, die aktuelle Version des watchOS so bald wie möglich zu installieren.

Pegasus ist nicht für „normale“ Nutzer
Die Pegasus-Spyware wurde von der NSO Group entwickelt und soll „Regierungen und Gesetzeshütern“ dienen. An normale Anwender wird die Software nicht verkauft. Es gibt aber Berichte, nach denen die meisten Länder, die Pegasus lizenziert haben, mit Menschenrechten eher leichtfertig umgehen und Personengruppen wie Journalisten oder Oppositionelle ins Visier nehmen. Pegasus ist schon lange in Entwicklung und hat schon für einige Sicherheitsupdates gesorgt. Daneben hat Apple den Hersteller vor zwei Jahren verklagt.